Fuimos muchos los profesionales del mundo del Derecho y del Compliance los que criticamos la oportunidad perdida en la reforma del Código Penal del 2010, que introdujo la responsabilidad penal de la persona jurídica de promover la instauración en nuestro país de una verdadera cultura de Compliance e implicar a las empresas de forma activa en la lucha contra la corrupción, mal que azota nuestro país y que limita la competitividad de nuestras empresas y por ende de nuestra economía.
La referida reforma introdujo por primera vez en nuestro sistema jurídico la responsabilidad penal de la persona jurídica por delitos como el cohecho, el tráfico de influencias o la corrupción entre particulares. No obstante, la referida reforma, a diferencia de otras normativas de nuestro entorno, no incentivaba ni recompensaba los esfuerzos que realizan las empresas para prevenir la comisión en su seno de actos delictivos como el de sobornar a funcionario público o pagar comisiones ilegítimas a clientes para asegurarse negocio, mediante la adopción de programas corporativos de Compliance. Además la reforma introducía altas dosis de inseguridad jurídica al utilizar una técnica legislativa pobre y confusa.
Ante la falta de una cultura empresarial de Compliance en nuestro país y el error del legislador en no incentivar ni reconocer el valor de los programas de Compliance, pocas han sido las empresas que han hecho el esfuerzo de dotarse de mecanismos preventivos, de vigilancia y control, lo que ha restado eficacia a la lucha contra delitos como el de corrupción.
Por fin consciente de las deficiencias en la regulación de la responsabilidad penal de las personas jurídicas, el gobierno ha impulsado un anteproyecto de ley de reforma del Código Penal que mejora técnicamente dicha regulación de la responsabilidad penal de las personas jurídicas y delimita con precisión el contenido del "debido control", cuyo quebrantamiento es el fundamento de su responsabilidad penal. Como señala el preámbulo del anteproyecto, se pretende también poner fin a ciertas dudas interpretativas planteadas por la última reforma del Código Penal mediante la Ley Orgánica 5/2010 en relación con el régimen de responsabilidad vicaria u objetiva que parecía introducir dicha reforma.
El anteproyecto de ley de reforma del Código Penal de abril de este año, de forma clara e inequívoca, apuesta por una cultura de Compliance al otorgar a los programas de prevención adoptados por las empresas un valor eximente de responsabilidad penal derivada de la comisión de delitos cometidos en su nombre y en su provecho, tanto por sus apoderados y administradores como por sus empleados. Así, el modificado artículo 31 bis establece que la única vía al alcance de la persona jurídica para quedar exenta de responsabilidad penal consiste en que esta pruebe que (a) su órgano de administración ha adoptado (¡y ejecutado con eficacia!), antes de la comisión del delito, medidas de vigilancia y control idóneas para prevenir la comisión de delitos, (b) la supervisión del funcionamiento y del cumplimiento del modelo de prevención se ha confiado a un órgano con poderes autónomos de iniciativa y control, (c) los autores individuales hayan cometido el delito eludiendo fraudulentamente lo modelos de prevención, y (d) no se ha producido una omisión o un ejercicio insuficiente de sus funciones de vigilancia y control por parte del órgano referido en el apartado (b).
Dicho en otras palabras, bajo el apartado (a), el anteproyecto se refiere a la adopción e implementación eficaz de un programa de Compliance por parte del órgano de administración. La exigencia de que sea el propio órgano de administración de la persona jurídica el que se encargue de estas funciones va en línea con lo requerido por las Sentencing Guidelines estadounidenses, los principios de la OCDE en relación con la Convención Anticohecho Internacional o los principios establecidos por la Serious Fraud Office en relación con la UK Bribery Act (es decir, el famoso tone at the top o executive sponsorship). Además, y para dotar de la necesaria independencia al órgano de la empresa responsable de velar por la aplicación de los programas de Compliance, el anteproyecto establece (en el apartado (b) anterior) que este órgano deberá gozar de poderes autónomos de iniciativa y control. Sin duda, este apartado refleja la necesidad de que las empresas cuenten con un departamento de Compliance independiente y con suficientes recursos para gestionar el sistema de prevención. De esta obligación no obstante, según el ap. 5 del art. 31 bis, y por el coste que la misma conlleva, quedarán exoneradas las empresas de pequeña dimensión (aquellas que están autorizadas a presentar cuentas de pérdidas y ganancias abreviadas, dice el anteproyecto), donde dichas funciones deberán ser realizadas por el órgano de administración.
Si bien es imprescindible, según el anteproyecto, contar con un programa de Compliance que haya sido adoptado y ejecutado con eficacia por el órgano de administración y con un departamento de Compliance que supervise el funcionamiento y cumplimiento de este, no cualquier programa de Compliance será suficiente para eximir a la persona jurídica. El anteproyecto regula el contenido que deben tener los programas de Compliance para que éstos puedan tener valor exculpatorio. Los "modelos de prevención" deberán cumplir los siguientes requisitos: (a) identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos (esto es, se impone la necesidad de realizar un análisis de riesgos penales), (b) establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos, (c) dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos, (d) impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención, y (e) establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
Bajo el apartado (d) el anteproyecto señala como componente esencial de un programa de Compliance el canal de denuncia, del cual deberá encargarse además el departamento de Compliance (o al mismo órgano de administración en case de empresas pequeñas y medianas que no cuenten con departamento de Compliance). Es importante destacar también que el sistema disciplinario de la persona jurídica deberá sancionar expresamente el incumplimiento de lo establecido en el programa de Compliance.
Esta regulación del contenido mínimo de los programas de Compliance aporta sin duda seguridad jurídica a las empresas, homologa el contenido de los programas de Compliance al de los países de nuestro entorno y facilita la labor de los jueces en la valoración de los mismos.
Como señalábamos antes, el órgano de administración no sólo debe adoptar el programa de Compliance, sino que además debe ejecutarlo eficazmente. El ap. 8 del art. 31 bis del anteproyecto establece que el "funcionamiento eficaz" del programa de Compliance requiere (a) de una verificación periódica del mismo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios, y (b) de un sistema disciplinario que sancione adecuadamente las infracciones de las medidas de control y organización establecidas en el modelo de prevención. Por lo tanto, se insiste de nuevo en la necesidad de que se sanciones adecuadamente a los empleados que incumplan lo dispuesto en el programa de Compliance y se impone a la persona jurídica la obligación de verificar periódicamente la eficacia del programa de Compliance (el monitoring) y modificarlo si se han producido cambios en la persona jurídica que lo requieran.
Esto no es todo; el anteproyecto va más allá y, siguiendo la senda iniciada por la normativa del Reino Unido de lucha contra la corrupción, establece como delito de los que serán responsables los administradores y apoderados de la persona jurídica, el hecho de que éstos no hubieran tomado las medidas necesarias para dotarse de un programa de Compliance si se comete un delito en el seno de la persona jurídica que se hubiera podido prevenir si dicho programa existiera. El anteproyecto aprovecha para corregir la inexplicable exclusión de las sociedades mercantiles estatales que ejecuten políticas públicas o presten servicios de interés general del régimen de responsabilidad penal de las personas jurídicas. Con ello, y gracias a la modificación del Código Penal introducida por la LO 7/2012, por la que se incluyeron a partidos políticos y sindicatos dentro del régimen de responsabilidad penal de la persona jurídica, todos los actores económicos relevantes y susceptibles de devenir sujetos activos o pasivos de actos de corrupción pasarán a responder penalmente. Por último, el anteproyecto extiende el ámbito territorial de aplicación del Código Penal, más allá de nuestras fronteras, por lo que las empresas españolas podrán ser responsables penalmente por delitos de corrupción cometidos por las mismas aunque el acto de corrupción tenga lugar fuera de nuestras fronteras. Si este anteproyecto ve la luz, España dará un paso de gigante en la dirección de incentivar y extender entre nuestras empresas la cultura del Compliance y convertir a éstas en aliados necesarios para luchar de forma efectiva contra la lacra de la corrupción, pues debemos recordar que no hay funcionario, político, líder sindical o empresario corrupto si no existe una empresa dispuesta a corromperlo.
